Au même titre qu’un pentest, le bug bounty, traduit en prime aux bogues en français, peut être considéré comme un nouveau standard de cybersécurité. En bref, il s’agit d’un programme récompensant les hackers éthiques qui rapportent des bogues (bug) sur un site web donné, le but du jeu étant d’identifier les vulnérabilités avant les cybercriminels. Qu’est-ce qu’un bug bounty, concrètement ? Quand cette pratique est-elle née et peut-on en vivre comme activité principale ? Découvrez la réponse dans la suite.
Qu’est-ce qu’un bug bounty ?
Le bug bounty fait partie de la panoplie des outils de sécurité collaborative, une pratique de plus en plus populaire auprès des organisations qui cherchent à renforcer leur cybersécurité face à la menace croissante des cybercriminels. Concrètement, un bug bounty est un programme qui récompense monétairement les hackers éthiques ayant découvert et signalé un bug ou une vulnérabilité au développeur d’une application. Le bug bounty peut donc être assimilé à une chasse aux failles de cybersécurité qui permet aux entreprises et autres types d’organisations d’améliorer la sécurité de leurs systèmes en continu.
Les bug bounty sont généralement proposés par des éditeurs de logiciels, mais aussi par les GAFAM (Apple, Google et Facebook ont régulièrement recours à des bug bounty) et des sociétés spécialisées telles que Bugcrowd et Yes We Hack. Ils prennent la forme d’un challenge, adressé aux hackers éthiques et spécialistes en cybersécurité, qu’on invite à découvrir des failles et vulnérabilités sur un logiciel donné, moyennant une récompense monétaire. De toute évidence, le montant de la prime dépend de la nature de la vulnérabilité découverte et signalée.
L’historique des bug bounty
Le premier programme de récompense de type bug bounty remonte à 1995. C’est en tout cas la version officielle de l’historique de cette pratique de cybersécurité. En 1995 donc, la société américaine Netscape Communications, pionnière du web, lance un programme de recherche de vulnérabilités. Ce premier programme est l’œuvre de Jarrett Ridlinghafer, ingénieur chez Netscape, sans doute encouragé par la culture de créativité et d’innovation régnante dans la société.
Jarrett Ridlinghafer part d’un constat simple : les produits de Netscape, notamment le navigateur Netscape/Mozilla, a une large communauté de fans. Ridlinghafer découvre que ces fans comptent dans leurs rangs des ingénieurs logiciels, qui corrigent les bugs du navigateur et publient leurs corrections sur les forums du soutien technique de Netscape, ou sur le site non officiel de la société. Pour Jarrett Ridlinghafer, il fallait absolument profiter de ces ressources, d’où son idée d’organiser un programme de prime aux bogues, avec un budget initial de 50 000 dollars.
Cela dit, la revue TechCrunch fait état d’un premier bug bounty organisé en 1983 par la société Hunter & Ready ! Lancé sous le slogan « Get a bug if you find a bug » (gagnez une Volkswagen « coccinelle » si vous trouvez un bogue), ce bug bounty visait à identifier les vulnérabilités de VRTX, le système d’exploitation de la société américaine.
Bug bounty : quel est le montant des récompenses ?
Nous vous le disions, les bug bounty proposent des récompenses monétaires à la clé. Rappelons également en fonction du caractère critique de la vulnérabilité détectée et signalée. En bref, les récompenses pour les bug bounty varient de quelques centaines à plusieurs centaines de milliers de dollars américains. Chez Google par exemple, elles peuvent aller de 500 à plus de 30 000 dollars. Rien qu’en 2018, la firme de Moutain View a déboursé un montant total de 3,4 millions de dollars en récompenses de bug bounty, versées à plus de 300 spécialistes issus de 78 pays différents. Depuis le lancement de son programme de bug bounty en 2010, Google a déboursé un total de 15 millions de dollars en récompenses pour la découverte de failles de sécurité informatique.
Evidemment, toutes les organisations soucieuses de leur cybersécurité ne sont pas Google. Entendez qu’elles n’ont pas forcément les moyens de débourser les montants cités plus haut. Mais pas de panique, il existe d’autres formes de bug bounty… : les plateformes de bug bounty.
Zoom sur les plateformes de bug bounty
Si les géants du net et notamment les GAFAM ont parfaitement les moyens d’organiser des bug bounty en interne, ce n’est pas le cas des plus petites organisations. Pour celles-ci, il existe des plateformes de bug bounty, comme Yes We Hack par exemple. Créée en 2013 par des passionnés de la cybersécurité, cette plateforme européenne de bug bounty dispose d’une communauté de plus de 7 000 chercheurs et experts qu’elle met en relation avec les entreprises. Accessibles, les programmes de bug bounty (publics ou privés) proposés par Yes We Hack offrent des récompenses qui débutent à 50 dollars, et peuvent aller jusqu’à 10 000 dollars.
Outre-Atlantique, la plateforme de bug bounty américaine HackerOne fonctionne sur le même principe de Yes We Hack. Il existe cependant une différence d’échelle, puisque HackerOne regroupe une communauté de près de 300 000 hackers éthiques que la plateforme met en relation avec les organisations privées et publiques. Parmi les clients de la plateforme, on retrouve des géants comme General Motors, Airbnb ou encore le département de la Défense américaine.
Peut-on vivre des bug bounty ?
En bref, oui, on peut tout à fait vivre des bug bounty. Aujourd’hui, plusieurs hackers éthiques exercent cette activité à plein temps. Mais comme dans tout domaine apparenté, cette possibilité est réservée à la crème de la crème des hackers. En effet, les hackers éthiques « stars » arrivent à gagner des sommes importantes. Autrement dit, il s’agit d’experts de haut vol qui monnayent leur expertise en dévoilant les vulnérabilités d’un logiciel ou d’une application.
Certains hackers éthiques font partie de ce que les plateformes appellent un hall of fame (mur des célébrités), qui regroupent les spécialistes ayant le plus contribué à la détection de vulnérabilités critiques. Faire partie de ce hall of fame est synonyme de grosses récompenses, comme c’est le cas d’un jeune argentin de 19 ans, devenu le premier hacker éthique à atteindre le chiffre record d’un million de dollars en récompense gagné sur HackerOne.